При этом, если оставить за скобками киберучения силовых ведомств, то, на мой взгляд, сейчас коммерческие киберучения «утянули» в область так называемых командно-штабных учений (КШУ), причем не в КШУ на местности, а в КШУ на картах. И зачастую к ним идет длительная плановая подготовка и сценария, и площадки, и участников.
В рамках данной заметки я хотел бы поговорить о «внезапных» киберучениях именно «на местности», в рамках которых целиком и полностью имитируется определенная кибератака (инцидент ИБ) и оцениваются действия существующего персонала.
Если стараться провести киберучения максимально чисто, то необходимо обеспечить, как минимум, следующие вещи:
- до момента официального старта и в процессе проведения киберучений только N-ое количество людей знает о том, что это учения, и N –> 1 (в реальности это, скорее всего, минимум 2-а человека: ТОП-менеджер, который взял на себя решение о запуске и отвечает за возможный ущерб; инициатор-исполнитель);
- до момента официального старта действия по вашей подготовке не должны вас выдать (ни вашим же ИТ- или ИБ-коллегам; внешним ИБ-подрядчикам с функциями мониторинга; площадкам, где вы «обкатываете» свои идеи), если вы делаете это с привлечением сторонних специалистов, то без качественного легендирования не обойтись;
- не может быть фальстарта, перезапуска или т.п., как только вас «раскусят» второй раз этот сценарий уже, скорее всего, не пройдет (как минимум, эффект будет совершенно другой).
Многие скажут, что это же «классика» BCP, пожарных тревог и т.п., т.е. встали, пересели и работаем дальше.
Но спешу вас расстроить, BCP отрабатывает для случаев disaster, т.е. когда процедуры Incident Management-а свое отыграли.
Здесь же я остаюсь в рамках Incident Management-а и оцениваю выявление инцидента ИБ и реагирование на него, а это уже совсем другая история.
Продолжение следует …
